28.03.2024 | NuGet: поле битвы за секреты разработчиков |
Специалисты ReversingLabs обнаружили подозрительный пакет в менеджере пакетов NuGet , предположительно нацеленный на разработчиков, использующих инструменты китайской компании Bozhon Precision Industry Technology, специализирующейся на производстве промышленного и цифрового оборудования. Пакет под названием SqzrFramework480 был впервые опубликован 24 января 2024 года и на данный момент загружен 2999 раз. В пакете обнаружена DLL-библиотека «SqzrFramework480.dll», содержащая функции для создания скриншотов, отправки их на удаленный IP-адрес и постоянной проверки связи с IP-адресом каждые 30 секунд. По словам ReversingLabs, такие действия в отдельности не считаются злонамеренными, но в совокупности вызывают подозрения и могут свидетельствовать о попытке промышленного шпионажа, особенно в системах, оснащенных камерами, машинным зрением и роботизированными руками.
Подключение к IP-адресу и отправка скриншотов на адрес Объединение данных функций в одном пакете нарушает правила безопасности и может указывать на намеренное внедрение вредоносного кода под видом безобидного программного обеспечения. Несмотря на потенциальную опасность, существует альтернативное объяснение: пакет мог быть утечкой от разработчика или третьей стороны, работающей с компанией, и использоваться для передачи изображений с камеры на рабочую станцию. На то, что SqzrFramework480 связан с китайской фирмой Bozhon Precision Industry Technology, указывает использование логотипа компании в качестве значка пакета. Пакет был загружен учетной записью пользователя Nuget под названием «zhaoyushun1999». На данный момент пакет SqzrFramework480 удален из репозитория с сообщением о нарушении Условий использования. В ReversingLabs подчеркнули, что такие инциденты подчеркивают сложность угроз цепочек поставок и необходимость тщательного анализа библиотек перед их загрузкой. Открытые репозитории, такие как NuGet, все чаще содержат подозрительные и вредоносные пакеты, целью которых является привлечение разработчиков и внедрение злонамеренных модулей в их рабочие процессы. |
Проверить безопасность сайта